<div dir="ltr">Hi Klaus,<div><br></div><div>Thanks for the quick reply.</div><div><br></div><div>I tried loading a test-signed PDM module for development (obviously with test-signing enabled in the machine) but it fails with a "no trusted paths" error. I'm guessing that even on development or test machines you require the module to be cross-signed with the Microsoft cert?</div>
<div>I'm also guessing you don't debug custom PDM modules with release versions of VirtualBox. Is there any way I can do this without having to sign debug binaries?</div><div><br></div><div>Thanks,</div><div>Jose</div>
<div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jul 29, 2014 at 7:43 PM, Klaus Espenlaub <span dir="ltr"><<a href="mailto:klaus.espenlaub@oracle.com" target="_blank">klaus.espenlaub@oracle.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">José,<br>
<div class=""><br>
On 29.07.2014 15:53, José Massada wrote:<br>
> Hi,<br>
><br>
> The new hardening code breaks VirtualBox when trying to load a custom<br>
> built PDM module (VERR_LDRIV_NOT_SIGNED). This is a custom virtual PCI<br>
> device that we've been using for quite some time now.<br>
<br>
</div>Yes, that signing requirement is a change which had to be done in 4.3.14.<br>
<div class=""><br>
> I've looked at the code and I see that some unsigned dlls are being<br>
> ignored if they are in certain system paths. I tried loading it from<br>
> \\SystemRoot\\System32\\ but with no luck.<br>
<br>
</div>There's no signing exemption for PDM modules, so there's no point in<br>
moving them to such a directory.<br>
<div class=""><br>
> Linux version works fine when installed to a root owned system path.<br>
<br>
</div>That's comparing apples and oranges, as the systems have a vastly<br>
different basic security system design and need different approaches for<br>
hardening.<br>
<div class=""><br>
> Am I to assume that I'll have to, somehow, sign the dll?<br>
<br>
</div>Correct. You need a cert suitable for Windows kernel driver signing,<br>
nothing else is accepted. There are very few CAs which offer this (as it<br>
needs to be cross-signed by Microsoft).<br>
<br>
> Too much hardening maybe?<br>
<br>
No, this is intentional and required for the hardening to work. It won't<br>
go away in future builds.<br>
<br>
Klaus<br>
<br>
> Cheers,<br>
> Jose<br>
<br>
_______________________________________________<br>
vbox-dev mailing list<br>
<a href="mailto:vbox-dev@virtualbox.org">vbox-dev@virtualbox.org</a><br>
<a href="https://www.virtualbox.org/mailman/listinfo/vbox-dev" target="_blank">https://www.virtualbox.org/mailman/listinfo/vbox-dev</a><br>
</blockquote></div><br></div>